آموزش NETWORK PLUS

[Azad/]

درس اول - عیب یابی



پروسه عیب یابی (Troubleshooting Process)

قبل از اینکه وارد این پروسه شویم بایستی گفت که هیچ مطلب جادویی وجود ندارد که بتوان با استفاده از آن عیب یابی کرد و به حل مشکل مورد نظر پرداخت . به صورت ساده عیب یابی پروسه ای است که با استفاده از آن می توان فهمید که همه چیز چگونه کار می کنند و در چه وضعی هستند .

به این معنی که از ابتدای این آموزش تاکنون من به نحوی درباره عیب یابی صحبت کردم زیرا آموختید که اجزای مختلف شبکه چگونه کار می کنند .پس وقتی وارد این پروسه می شوید بایستی بفهمید که اجزا شبکه بایستی چگونه کار می کردند و آلان چگونه کار می کنند و در چه وضعیتی هستند . اکنون به شرح این پروسه می پردازیم





اطلاعات جمع آوری کنید (Gathering Information)

اگر شخصی به شما گفت که مشکلی در شبکه و کامپیوتر وی بوجود آمده است , شروع به جمع آوری اطلاعات کنید . این اطلاعات را از کجا جمع آوری کنیم ؟ هرکجا که می توانید / اولین محل مطمئنا خود کاربران است . کاربرانی که از مشکلات می نالند . همچنین می توانید از نرم افزارهای مانیتورینگ مختلف که در ویندوز اجرا شده اند استفاده کنید و با استفاده از لوگ فایل های گرفته شده توسط این نرم افزار ها به اطلاعات اولیه درباره مشکل دست یابید .

هرچه اطلاعات بیشتری در این مرحله بدست آورید به حل مشکل در مراحل بعدی کمک خواهد کرد . خودتان را جای یک کارآگاه پلیس بگذارید که می خواهد یک مسئله جنایی را حل کند . اولین کاری که کارآگاه انجام می دهد بدست آوردن اطلاعات و مدرک جرم است .وی شروع به سوال کردن از افراد حاضر در صحنه جنایت می کند و شروع به جمع آوری بیشترین اطلاعات از اشخاص می کند و هر چه اطلاعات بیشتری درباره صحنه جرم بدست آورد کار وی را در مراحل بعدی راحت تر خواهد کرد .

این موضوع درباره حل مشکلات و عیب یابی در شبکه نیز مصداق دارد .





مشکل بر چه کسانی یا کامپیوتر هایی تاثیر گذاشته است ؟ (Who ‘s affected )

چه کسانی و چه چیزهایی تحت تاثیر مشکل بوجود آمده بوده اند؟ به عنوان مثال اگر شخصی با شما تماس گرفت و گفت من نمی توانم به سرور فایل دسترسی پیدا کنم ,

خوب آیا او تنها شخصی است که نمی تواند به فایل سرور دسترسی پیدا کنید ؟ یا شاید دیگر کاربران نیز قادر به دسترسی به فایل سرور نیستند ؟ آیا فایل سرور می تواند دوباره ارتباطی با کاربران مورد نظر برقرار کند ؟ اگر بیش از یک کاربر قادر به دسترسی به این سرور نیستند , آیا همه دسترسی ندارند یا فقط یک بخش خاصی از افراد دسترسی ندارند ؟ اگر فقط بخش خاصی دسترسی ندارند , بین این بخش از افراد چه نقاط مشترکی وجود دارد ؟ آیا آنها در یک منطقه فیزکی خاص از شبکه هستند ؟ آیا همه آیا آنها به یک گروه خاصی تعلق دارند ؟

پس شما علاوه بر دانستن مشکل نیاز دارید بدانید که چه کسانی و در کجا به این مشکل مبتلا شده اند ؟





چه چیزی تغییر یافته است ؟ (What’s Changed)

این واقعا یک سوال مهم است چونکه به طور کلی هیچ چیزی اتفاق نمی افتد مگر اینکه دلیلی داشته باشد . پس اگر مشکلی در شبکه بوجود آمده حتما یک یا چند چیز تغییر یافته اند . در این مورد شما همیشه با مشکل روبرو می شوید زیرا کاربران به شما می گویند مثلا فلان چیز کار نمی کند یا نمی توانم به فلان چیز دسترسی پیدا کنم . شما می پرسید که چه کار کردید ؟ یا چه چیزی را تغییر داده اید و چه کار متفاوتی انجام داده اید ؟ و همین سوالات باعث می شود که کاربر به شما پاسخ دهد :

من هیچ کاری نکردم و فقط کار خودم رو کردم . شما می خواهید بفهمید که چه چیزی تغییر کرده و این امر باعث درگیری شما و کاربران خواهد شد . زیرا آنها فقط به دفاع از خود فکر می کنند و حقیقتا دلیل اینگونه سوال پرسیدن های شما را نمی دانند . پس بدون اینکه کاربران فکر کنند که قصد مقصر دانستن آنها را دارید از آنها جزئیات آنچه تغییر یافته را بپرسید .زیرا گاهی فهمیدن و دانستن یک تغییر کوچک شما را درست به راه حل مشکل هدایت خواهد کرد .




این مشکل چرا اتفاق افتاده ؟ (Why is this happening)

دلیل بوجود آمدن این مشکل چیست ؟ پس از طی مراحل بالا اکنون بایستی به این جواب برسید که دلیل بوجود آمدن مشکل چه بوده است ؟ به عنوان مثال به این نتیجه برسید که این اتفاق رخ داده است زیرا فایل سرور سرویس دهی نمی کند .یا مشکل از پاور یکی از سیستم ها می باشد . یا دلیل بوجود آمدن مشکل عدم فعالیت درست یکی از روترها می باشد . پس در این مرحله از کار شما نیاز دارید که دلیل مشکل را پیدا کنید .




آیا من می توان این مشکل را حل کنم ؟ (Can I handle it)

وقتی که به دلیل مشکل پی بردید حال بایستی این سوال را از خود بپرسید که آیا به خودی خود قادر به حل این مشکل هستید ؟ خیلی سوال مهمی است زیرا مشخص می کند که چه شخصی بهتر می تواند این مشکل را رفع و رجوع کند ؟ اگر شما از خود بپرسید که آیا قادر به حل این مشکل هستم ؟ آیا این مشکلی است که من می توانم آن را به تنهایی حل کنم ؟ و سپس با خودتان روراست باشید . متخصصان آی تی افرادی هستند که می خواهند مشکلات را حل کنند و وقتی با یک مشکل روبرو می شوند , سریعا می خواهند این مشکل را برطرف کنند , چه بتوانند چه نتوانند . دلیلی که می گویم از متخصصین مختلف کمک بگیرید این است که ممکن است این مشکل از حوزه عملیاتی شما خارج باشد .

شاید این مشکل مربوط به روتری در یک دفتر دیگر از سازمان باشد . درسته که شما شاید بتوانید با استفاده از ریموت این مشکل را حل کنید ولی گاهی با تماس با شخص دیگری در دفتر مربوطه بسیار سریعتر این مشکل را حل کنید .

یا شاید ممکن است شما در این مورد خاص تخصص نداشته باشید ؟ به عنوان مثال یک مشکل سخت افزاری باشد یا مربوط به کابل کشی ساختمان باشد و با دخالت شما در این مورد نه تنها مشکل حل نمی شود بلکه ممکن است یک مشکل دیگر را هم بوجود آورید . پس همیشه از خوتان بپرسید که آیا قادر به حل آن هستید یا نیاز دارید اشخاص دیگری را در این زمینه به کار بگیرید.






یک راه حل مناسب پیدا کنید (Find the best solution)

پیدا کردن یک راه حل مناسب معمولا یک دفعه ای حاصل نمی شود . برای پیدا کردن یک راه حل مناسب بایستی سه مرحله را طی کنید . ابتدا یک راه حل ممکن را پیدا کنید .آن را امتحان و تست کنید . اگر راه حل ممکن , راه حل مناسبی بود و مشکل را شما را حل کرد , آن را انتخاب کنید .اگر مشکل شما حل نشد این مرحله را تکرار کنید تا به یک راه حل مناسب برسید .

در این مرحله همیشه به یاد داشته باشید که از ساده ترین راه حل ممکن شروع کنید و در صورتی که حاصلی نداشت به سراغ راه حل های پیچیده تر بروید .


در نهایت به یاد داشته باشید که تمامی مراحل را مستند سازی کنید . این مسئله همانگونه که مطالب قبلی به طور مفصل به آن پرداختیم , باعث می شود تا از وقوع بسیار از مسایل جلوگیری شود و در زمان شما صرفه جویی شود .

[Azad/]

درس دوم - مسایل و مشکلات فیزیکی

در این درس به توضیح برخی مسایل و مشکلات رایج فیزیکی در شبکه می پردازیم :پ




CrossTalk :

در مباحث قبلی وقتی در مورد کابل کشی Twisted pair صحبت می کردیم به یاد دارید که کابل های Twised Pair به صورت جفت به هم تابیده دو به دو به دور یکدیگر تابیده شده اند. دلیل کار این بود که وقتی که دو کابل به موازات یکدیگر تابیده می شدند CrossTalk خنثی می شد و از تاثیر جریان و تداخل جریان دو کابل بر یکدیگر کاسته می شد .
دو نوع CrossTalk داریم :

(Near End Crosstalk (NEXT که در این نوع تداخل جریان Crosstalk در کنار منبع انتقال جریان یا دیوایسی که جریان را ارسال می کند رخ می دهد .
در صورتی که (Far End Crosstalk (FEXT تداخل جریان در انتهای کابل و نزدیک به دیوایس دریافت کننده سیگنال رخ می دهد .





Attenuation :

به معنی زوال و از بین رفتن سیگنال در طی مسافت می باشد . وقتی که سیگنال از کابل عبور پیدا می کند و به سمت مقصد فرستاده می شود وقتی که مسافت از میزان استاندارد فراتر رود سیگنال تضعیف می شود و به مقصد نمی رسد . مشکلی که در دنیای واقعی معمولا با آن مواجه می شویم , دور بودن دو دیوایس از یکدیگر نیست بلکه این است که در بین ارتباط دو دیوایس , اتصالات زیاد دیگری با دیوایس های دیگر وجود دارد و همین امر موجب تضعیف سیگنال در مقصد می شود . به همین دلیل در چنین شرایطی از دیوایس های Repeater که سیگنال را بازسازی و تقویت می کنند استفاده می شود .





Collision :

در قبل راجع به ارتباطات اترنت (Ethernet) صحبت کردیم و گفتیم که CSMACD چگونه عملکردی دارد و گفتیم که که چگونه وقتی یک تداخل سیگنال (Collision) رخ داد , با استفاده از متد Collison Dettection این تداخل تشخیص داده می شود و دو کامپیوتر یک timeout یا بازه زمانی کوتاه صبر می کنند و در صورت آزاد بودن خط دوباره شروع به ارسال سیگنال می کنند .پس وقتی که یک تداخل رخ می دهد , انتقال جریان متوقف می شود . تعداد کمی Collison امری بسیار طبیعی است .

در یک شبکه با استاندارد اترنت (Ethernet) دلیل این که از واژه Collison Dettection استفاده می کنیم این است که ممکن است یکسری تداخل ها بوجود آید , ما آنها را تشخیص می دهیم و دوباره سیگنال را ارسال می کنیم . ولی اگر این تداخل سیگنال از حد معمول خارج شود , مشکل زا خواهد بود .

بسیاری از این Collison ها توسط شما با نگاه کردن به دیوایس های شبکه نیز قابل تشخیص خواهد بود . دیوایس های شبکه همچون روترها , سوییچ ها و کارت های شبکه یک چراغ LED دارند که میزان تداخل سیگنال را به ما نشان خواهند داد . در صورتی که این چراغ LED بیش از حد چشمک زد , بیانگر این است که Collsion زیادی در شبکه وجود دارد .







Shorts :

وقتی که کابل کشی مسی داریم , ممکن است کابل در قسمت برهنه شده و همچنین شاید در داخل کابل قسمتی از کابل های Twisted Pair آسیب دید و زخمی شده و دو کابل از هم فاصله گرفته و با چشم از بیرون قابل مشاهده نیستند .





Open Impedance Mismatch echo :

به معنی مقاومت جریان که برخلاف جریان عبوری سیگنال بوجود می آید و مانع عبور جریان می گردد .این مقاومت در الکتریسیته با واحد اهم اندازه گیری می شود . هرکابلی یک نرخ مقاومت بخصوص دارد . اگر چندین کابل در کنار یکدیگر داشته باشید ممکن است این نرخ مقاومت از حد معمول فراتر رود و مانع عبور جریان شود .





(EMI (Electro Magnetic Interference :

در لغت به معنی دخالت جریان الکترومغناطیسی است . لامپ های فلورسنت و ژنراتور های مقدار EMI تولید می کنند . اگر کابل های شبکه از کنار این وسایل عبور داده شود , EMI تولید شده توسط آنها بر جریان عبوری تاثیر منفی می گذارد . برای حل این مشکل از کابل های دارای محافظ خارجی (Shielded Twisted Pair) استفاده می شود .

[Azad/]

درس سوم - مسایل و مشکلات منطقی





این مشکلات معمولا وقتی بوجود می آید که دیوایس های شبکه به صورت نادرست نصب و پیکربندی می شوند و مشکلاتی را بوجود می آورند .





Port Speed :

به این معنی است که برای مثال در یک کامپیوتر شما کارت شبکه ای دارید و این کارت های شبکه قابلیت پیکربندی در Port speed های (سرعت پورت های) متفاوت دارند . پس ممکن است کارت شبکه ای داشته باشید که با سرعت پورت های 10Megabit Ethernet , 100Megabit Ethernet , 1Gigabit Ethernet سازگار باشند . بسیاری از این کارتهای شبکه قابلیت پیکربندی را دارند . به عنوان مثال شما کارت شبکه خود را با سرعت پورت 1Gigabit Ethernet پیکربندی کرده اید .

این در حالی است که سوییچی که به آن متصل است و با آن ارتباط دارد تنها قابلیت سرعت پورت 10Megabit Ethernet را دارد . حدس بزنید چه اتفاقی رخ خواهد داد . اکنون شما با مشکلی تحت عنوان Speed mismatch یا عدم تطبیق سرعت مواجه خواهید بود . چونکه سرعت کارت شبکه و سوییچ با یکدیگر مطابقت ندارد .





Port Duplex :

به موازات مشکل قبلی ممکن است شما با مشکلی تحت عنوان Port Duplex Mismatch مواجه شوید . Full Duplex به این معنی است که دیوایس شما به صورت همزمان قابلیت ارسال و دریافت سیگنال را دارد . این در حالی است که Half Duplex به این معنی است که دیوایس شما به صورت همزمان قابلیت ارسال و دریافت سیگنال را ندارد و هنگامی که ارسال تمام شد شروع به دریافت می کند.

اکنون اگر کارت شبکه شما به صورت Half Duplex تنظیم شده باشد و سوییچ شما Full Duplex با مشکل Port Duplex Mismach مواجه می شویم .

نکته مهم : قبل از این به مطلب بعدی برویم بایستی بدانید که امروزه اکثر دیوایس ها در چنین مواردی به صورت اتوماتیک تنظیم می شوند و در صورت عدم تنظیم به صورت دستی با مشکلات بالا مواجه نخواهید شد .






Incorrect VLAN :

به یاد دارید که VLAN راهی برای بخش بندی و سگمنت بندی شبکه به صورت مجازی بود. اکنون اگر این سگمنت ها به صورت اشتباه پیکربندی شوند و دیوایسی در سگمنت اشتباهی قرار گیرد , مانع برقراری ارتباط خواهد شد .





Incorrect TCP/IP Configuration :

تنظیماتی از قبیل آدرس آیپی , دروازه پیش فرض (Default Gateway) دی ان اس و سابنت ماسک که همگی جزو پیکربندی TCP/IP هستند اگر به صورت نادرست مقدار دهی شوند مانع برقرار ارتباط خواهند شد .

[Azad/]

و در نهایت :
فصل شانزدهم :





درس اول : مقدمه ای بر موضوع امنیت |

درس دوم : دیوار آتشین |

درس سوم : امنیت دسترسی به شبکه |

درس چهارم : تونلینگ و رمزنگاری |

درس پنجم : احراز هویت , صدور مجوز و بررسی |

درس ششم : گواهینامه یا اعتبارنامه |

درس هفتم : رمزنویسی |

درس هشتم : Public Key Encryption |

درس نهم : امنیت دیوایس |

درس دهم : تهدیدهای امنیتی رایج |



.

[Azad/]

درس اول - مقدمه ای بر موضوع امنیت





شاید وقتی که در ابتدا ارتباطات رایانه ای بوجود آمد و شبکه های کامپیوتری پدید آمد هیچ کس تصور نمی کرد که امنیت به مهم ترین بخش آن تبدیل خواهد شد .

به طوری که امروزه امنیت شبکه جزو مهم ترین و کاربردی ترین تخصص ها در بخش فناوری اطلاعات گردیده است . به همین دلیل مطالعه و آموزش در زمینه امنیت شامل مباحث بسیار گسترده ای است و فرا تر از سطح این مجموعه آموزشی است . آنچه که در این بخش از آموزش Network Plus به شما خواهیم گفت یک معرفی کلی از مباحث اصلی امنیت شبکه است و بیشتر برای آشنایی شما با مسئله امنیت و شیوه های ایجاد امنیت و شناخت تهدید های امنیتی رایج است . شما می توانید این تخصص را با گرفتن مدارکی همچون Security+ , CEH , CHFI کسب کنید .

نکته دیگری که می خواهم به آن اشاره کنم این است که زمانی که شما قدم به عرصه امنیت شبکه می گذارید هیچ پایانی برای کسب دانش شما وجود نخواهد داشت . درست زمانی که فکر می کنید همه دانش لازم برای امنیت شبکه را بدست آورده اید , بعضی سناریوها تغییر می کند و یکسری روش های جدید نفوذ و حمله کشف می شود . برخی هکرها با صرف انرژی باگ های جدیدی را کشف می کنند و راه نفوذ دیگری را پیدا می کنند . پس به یاد داشته باشید که امنیت شبکه مسئله بسیار مهمی است و دانش آن روز به روز دستخوش تغییر و پیشرفت می شود .

[Azad/]

درس دوم - دیوارآتشین



همانطور که می دانیم فایروال برای کنترل جریان داده ها استفاده می شود . به بیانی تخصصی تر برای کنترل جریان ورودی و خروجی شبکه به کار می رود. راههای زیادی وجود دارد تا فایروال این جریان عبوری داده را کنترل کند و تعیین کند که چه داده هایی وارد و خارج شبکه شوند .

اولین نکته درباره فایروال این است که باید بدانید فایروال بر مبنای شبکه است یا بر مبنای کامپیوتر (سیستم عامل) . مقصود در اینجا این است که فایروال می تواند بر روی یک کامپیوتر بخصوص قرار داده شود و داده های ورودی و خروجی آن کامپیوتر را کنترل کند .

به عنوان مثال تمامی سیستم عامل های ویندوز به صورت پیش فرض یک فایروال درون خود دارند که کنترل جریان اطلاعات ورودی و خروجی آن کامپیوتر را کنترل می کنند . در حقیقت این وسیله ای است که برای یک سیستم مجزا پدید آمده است . همچنین فایروال می تواند بر مبنای شبکه بنا شده باشد و معمولا این شیوه برای حفاظت جامع و کامل از کل شبکه بوجود آمده است . در این روش فایروال را در بخش خاصی از شبکه قرار می دهند و به طور معمول در بخشی که شبکه با دنیای خارج (شبکه خارجی) ارتباط دارد قرار می دهند تا به امنیت شبکه داخلی کمک کند .


نکته دیگری که بایستی در مورد فایروال ها بدانید این است که , فایروال های متفاوت در لایه های مختلف شبکه فعالیت می کنند . همانطور که از مباحث گذشته به یاد دارید مدل OSI هفت لایه دارد و همانطور که به لایه های بالاتر می رویم عملکرد نیز ارتقا می یابد . نکته اینجاست که فایروال ها در لایه های مختلف شبکه می توانند عملکرد داشته باشند ولی معمولا این عملکرد در لایه Network اتفاق می افتد که بسته های اطلاعاتی را کنترل و فیلتر می کند .

این بخش معمولا بر مبنای آدرس آیپی , پورت و پروتکل کنترل می شود که چه بسته هایی وارد و یا خارج گردد . اینگونه فایروال ها را Stateless می نامند . برخی فایروال ها عملکردی در لایه های بالاتر دارند و علاوه بر بررسی آدرس آیپی مبدا و مقصد , بسته را باز می کند و محتوای آن را مشاهده می کند . علاوه بر این برخی دیگر عملکردهایی همچون اسکن کردن محتوا و فیلتر کردن محتوا و قابلیت شناسایی امضای دیجیتال را در جریان عبوری داده دارند که اینگونه فایروال ها را Statefull می نامند .

[Azad/]

درس سوم - امنیت دسترسی به شبکه



Filtering : اولین شیوه برای اینکه بتوانیم دسترسی به شبکه را امن کنیم استفاده از متد فیلترینگ است . به چه معنا؟ به این معنی که دسترسی را برای عده خاصی از افراد یا کامپیوترها منع کنیم . فیلترینگ معمولا بر اساس دو گزینه صورت می گیرد . فیلترینگ را می توانیم براساس آدرس فیزیکی یا همان مک آدرس انجام دهیم به این معنی که دسترسی کامپیوتر های بخصوص با مک آدرس های بخصوص را , از شبکه منع کنیم .

این شیوه معمولا در شبکه های وایرلس صورت می پذیرد . روش دوم فیلترینگ بر مبنای آدرس آیپی است .به این معنی که دسترسی کامپیوتر های خاص با آیپی آدرس های بخصوص را از شبکه منع کنیم . این کار معمولا در لایه Network فایروال ها صورت می گیرد . در هر دوی این موارد راهی که این پروسه انجام می شود بر اساس یک لیست می باشد و این لیست (ACL (Access Control List لیست کنترل دسترسی می باشد .

این لیست دسترسی هنگام فیلترینگ با آدرس های ورودی و خروجی مقایسه می شود . مقایسه به دو روش صورت می پذیرد . روش اول استفاده از Black List یا همان لیست سیاه است . به این صورت که شما لیست آدرس های ممنوعه را وارد می کنید و همه افراد به جز آنهایی که در لیست سیاه هستند به شبکه دسترسی خواهند داشت .

این روش معمولا رایج تر است ولی از یک نظر از امنیت پایین تری برخوردار است زیرا شما به همه دسترسی داده اید به جز عده خاصی و به اگر شخصی در لیست سیاه نباشد قادر به دسترسی به شبکه خواهد بود . روش دوم استفاده از White List یا همان لیست سفید است . در این روش شما دسترسی همگان را از شبکه منع می کنید و تنها افرادی که در لیست سفید قرار دارند قادر به دسترسی به شبکه هستند . این روش به دلیل منع دسترسی عمومی از شبکه خیلی مناسب نیست ولی نسبت به روش دوم از امنیت بالاتری برخوردار خواهد بود .

[Azad/]

درس چهارم - تونل زدن و رمزنگاری



با مفهوم VPN آشنا شدید ؟ برای یادآوری توضیحی مختصر بیان می کنم . کانکشن وی پی ان برای ایجاد یک ارتباط امن از راه دور با شبکه داخلی صورت می گیرد . به این معنا که مثلا کارمند شما به مسافرت رفته و در شهر دیگری است ولی شما نیاز دارید تا ارتباط وی را با شبکه داخلی سازمان خود از راه دور برقرار کنید . این ارتباط از راه دور از طریق وی پی ان و از راه اینترنت صورت می پذیرد . اینترنت ؟؟!! مشکل همینجاست که اینترنت برای برقراری یک ارتباط امن محل مناسبی است . به همین دلیل در ارتباط وی پی انی شما یک تونل ایجاد می شود . همانگونه که می دانید دور تا دور تونل دیوار و سقف است و تنها مسیر روبرو آزاد است . آیا این تونل یک تونل فیزیکی و بتنی است ؟ خیر . ایجاد این تونل در شبکه وی پی ان از طریق Encryption یا همان رمزنگاری صورت می پذیرد و این رمزنگاری نیز از طریق یکسری پروتکل های تونلینگ صورت می پذیرد که عبارتند از :





(PPTP (Point to Point Protocol :

یا همان پروتکل نقطه به نقطه که یکی از پروتکل های اصلی تونلینگ و رمزنگاری می باشد و تقریبا توسط اکثر پلتفورم ها و سیستم عامل ها پشتیبانی می شود و حتی امروزه پروتکلی رایج و امن و کاربردی است . دلیل آن نیز این است که اکثر سیستم عامل های قدیمی را پشتیبانی می کند و سیستم عامل های قدیمی از طریق PPTP می توانند به ارتباط نقطه به نقطه بپردازند .




(L2TP (Layer 2 Tunneling Protocol :

اگر سیستم عامل های جدیدی داشته باشیم , می توانیم از پروتکل های جدید تر مثلL2TP که پروتکل تونلینگ لایه دو است استفاده کنیم . این پروتکل عملکرد پیشرفته تری دارد و می توان گفت که اکثر فواید آن در ظاهر به چشم نمی آید . پس شما ضرورتا یک تفاوت فاحش بین L2TP و PPTP مشاهده نخواهید کرد . آنچه در تفاوت این دو مشخص است استفاده L2TP از یک لایه بالاتر از رمزنگاری است که IPSec می باشد . فایده دیگر آن فشرده سازی بالاتر آن است در نتیجه بسته های کوچک تری را انتقال خواهیم داد . پس توصیه می شود که اگر سیستم عامل جدید تر که توسط این پروتکل پشتیبانی می شوند دارید , حتما از این پروتکل استفاده کنید .

[Azad/]

درس پنجم - احراز هویت , صدور مجوز و بررسی




وقتی بحث از اهراز هویت فرد یا کامپیوتری به میان می آید سه مفهوم Authentication , Authorization , Accounting یکی تلقی می شود .

در صورتی که سه پروسه جداگانه می باشند .



Authenitication ( احراز هویت )


پروسه شناسایی یک کاربر یا کامپیوتر است . برای اینکه چیزی شناسایی و تصدیق هویت شود , بایستی شناسایی شود که چه چیزی هست . پس Authentication تنها شناسایی هویت کاربر یا کامپیوتر است .





Authorization ( صدور مجوز )


پروسه تشخیص سطح دسترسی کاربر یا کامپیوتر است . به این معنا که پس از اینکه کاربر شناسایی و تشخیص هویت شد , سطح دسترسی مورد نظر که برای وی تعیین شده است به چالش کشیده میشود .





Accounting ( بررسی و بازرسی )


پروسه نگهداری و بررسی فعالیت کاربر یا کامپیوتر است . به این معنی که پس از اینکه به وی اجازه دسترسی به منابعی خاص داده شده فعالیت وی تحت نظر باشد و توسط سیستم بازرسی ثبت شود و عملیات لوگینگ انجام شود .


پس مطمئن شوید که تفاوت این سه پروسه را درک کرده باشید . اکنون که یاد گرفتیم احراز هویت چگونه انجام می شود به توضیح پروتکل های رایج آن می پردازیم . این پروتکل ها عبارتند از RADIUS و TACACS+. هر دو این پروتکل های سه عملیات AAA را به خوبی انجام می دهند . تفاوت عمده آنها در این است که +TACACS از نوع ارتباطی TCP استفاده می کند در صورتی که RADIUS از نوع ارتباطی UDP بهره می گیرد .

[Azad/]

درس ششم - گواهینامه یا اعتبارنامه

یکی دیگر از انواع احراز هویت PKI می باشد که مخفف Public Key Infrastructure عبارتی است که شبکه ای را توصیف می کند که برای استفاده از اعتبارنامه (Certificate) و رمزنگاری کلید عمومی (PKE) پیکربندی شده است.

اعتبارنامه (Certificate) یک نوع کارت شناسایی هویت الکترونیک می باشد که تنها قابل صدور توسط صادرکننده های مجاز می باشد . می توان ساعت ها درباره اعتبارنامه ها سخن گفت ولی آنچه در اینجا می توانیم به آن بپردازیم این است که اعتبارنامه ها در حقیقت گواهینامه های اجازه دسترسی هستند که می توان آنها را در شبکه داخلی یا در شبکه های خارجی صادر کرد . وقتی که یک Certificate در شبکه داخلی صادر می شود توسط ویندوز سرور صادر خواهد شد و در همان محیط اعتبار خواهد داشت و استفاده می شود ولی در صورتی که بخواهیم برای یک شبکه خارجی مثل اینترنت گواهینامه صادر کنیم در اینترنت از آن استفاده کنیم دیگر نمی توان توسط هر شخصی صادر کرد .

به همین منظور شرکت هایی مثل وریساین این گواهینامه ها را صادر می کنند و این گواهینامه های دیجیتال به عنوان سوم شخص مورد اعتماد تلقی می شوند . مورد اعتماد آنها نیز اعتبار بخشیدن به هویت یک سایت یا محصول در فضای دیجیتال می باشد و از این طریق می توان مطمئن شد که اشخاصی برای سو استفاده از یک محصول و ایجاد فضای تخریب آن را در وب منتشر نکرده اند و صد البته کاربردهای زیاد دیگری دارد . درست مثل زمانی است که شما یک گواهینامه رانندگی دریافت می کنید .

دلیل دریافت این گواهینامه نیز این است که اشخاصی که احراز هویت و اجازه دسترسی به خودرو را ندارند از آن استفاده نکنند و توسط پلیس قابل شناسایی باشند .








.